• Author / Uploaded
• Geova Marquina

Citation preview

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

IMPLEMENTACIÓN DE UN SGSI A LA DIRECCIÓN DE DESARROLLO INFORMÁTICO DEL BANCO CENTRAL DEL ECUADOR RESUMEN: Este es un caso de estudio, se requiere garantizar la seguridad de la información para la Dirección de Desarrollo Informático del Banco Central del Ecuador, que tiene como objetivo desarrollar software interno. Mediante la aplicación de herramientas para medir el estado de la seguridad de la dirección y a la base de los requerimientos del estándar ISO 27001, se determinan todos los elementos necesarios para implementar y gestionar un sistema de seguridad de la información que corresponden a: Mapa de procesos y procedimientos, la estructura organizativa y el plan de implementación del Sistema SGSI. Se incluye en el análisis de los elementos de Seguridad de la información, la Integridad, Disponibilidad y Confidencialidad, para la protección de los activos de la empresa, imagen corporativa y garantizar la continuidad del negocio y un crecimiento de la dirección. PALABRAS CLAVES: Sistema, Gestión, Seguridad, Información, Confidencialidad, Integridad, Disponibilidad, Procesos, Procedimientos. 1. INTRODUCCIÓN Proteger los activos de información es vital para garantizar la continuidad del negocio y mantener o mejorar la percepción de los usuarios internos y externos del Banco Central. Dada la importancia de dichos activos es importante adoptar buenas prácticas, establecer políticas que permitan reducir los riesgos en el manejo de cualquier tipo de información e implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) según las necesidades del negocio, basado según ISO 27001: 2005, así como consulta las normas ISO 27001:2015 y 27002:2015, Con todos los insumos teóricos antes mencionados se analizó el estado actual de la dirección respecto a la seguridad de la información, por medio de elementos cuantitativos y se procedió a la planeación del SGSI. Se incluyen mapas de procesos, organigrama del Departamento de Seguridad de la Información y otros elementos resultantes de cada uno de los pasos seguidos. 2. MISIÓN Y VISIÓN DEL BANCO CENTRAL DEL ECUADOR Misión: Gestionar la liquidez de la economía ecuatoriana, mediante la instrumentación de las políticas: monetaria, crediticia, cambiaria y financiera, para alcanzar el Buen Vivir. Visión: Ser una institución referente del nuevo rol de Banca Central, innovadora en la gestión de liquidez de la economía ecuatoriana, incluyente en la prestación de servicios financieros y reconocidos por sus aportes al desarrollo del país. 3. PLANTEAMIENTO DEL PROBLEMA La dirección actualmente cuenta con un número limitado de funcionarios públicos divididos en un coordinador general, un director, un líder de proyecto y sus respectivos equipos. Proporciona servicios de Desarrollo de Software de Aplicaciones Web a todo el Banco Central del Ecuador.

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

Toda la comunicación o publicaciones del banco, se hace a través de internet por canales no seguros, por lo cual están expuestas al exterior las aplicaciones web. Las diferentes direcciones envían sus requerimientos en documentos vía correo electrónico. Las comunicaciones vía telefónica con los diferentes usuarios se hacen por skype, VozIp o Telefonía Clásica, Whatsapp u otros aplicativos móviles por canales no seguros. Las pruebas con el usuario se realizan con información financiera sensible del banco, existen algunas medidas de seguridad previamente establecidas según los requerimientos de cada dirección y algunas normas de desarrollo de software. Los soportes técnicos se hacen de forma remota, usando control remoto o en sitio y utilizando datos reales de usuario y contraseña, debido a que solo se dispone de un directorio activo el de producción, para realizar las pruebas funcionales en el ambiente de desarrollo y control de calidad QA. No poseen un ambiente de desarrollo idéntico a los de producción, con la misma infraestructura y arquitectura, ocasionando problemas en el momento de pasar a producción. 4. DESARROLLO DEL CASO 4.1

Evaluación de la seguridad en la empresa

Como puntos de mejora se detectan los Compromisos de la Dirección: - Existe una política de seguridad de la información aprobada por la alta Dirección - los objetivos y los planes para la seguridad de la información están documentados - la alta gerencia ha comunicado a la dirección la importancia de lograr los objetivos y los planes relativos a la seguridad de la información - La dirección se asegura que se realicen auditorías Internas - La alta gerencia se asegura que se realicen auditorías a la seguridad de la información. Para mejorar la percepción de los puntos antes citados respecto a Compromisos de la Dirección se recomienda lo siguiente: 

La alta Dirección gire las instrucciones para la divulgación de la importancia de acatar las políticas de seguridad existentes y proporcionar los recursos necesarios.



Documentar debidamente los objetivos y planes para la seguridad de la información contando con la aprobación de la alta dirección.



Requerir a la alta Dirección los resultados de las evaluaciones de auditoría y gestionar el respectivo seguimiento.



Implementar una infraestructura segura e idéntica a la de producción con datos similares, que ayuden en la gestión de pruebas funcionales reales.

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

4.2

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

Declarativas de aplicabilidad

Después de analizar los controles detallados en el anexo A de la norma ISO 27001 y se identificó que todos los controles deben ser implementados adaptándolos al tamaño del Banco Central del Ecuador, a excepción de los que se ilustran en la siguiente tabla.

4.3

Alcance

Esta política aplica a toda la empresa, desde los Directores, Gerentes, Jefes y empleados en general, incluyendo consultores y pasantes en el Banco Central del Ecuador. La política no modificará de ninguna manera los lineamientos de seguridad interna, como de la funcionalidad del negocio. 

Límite Esta política de seguridad no incluye aspectos de seguridad relacionados con acceso remoto con las entidades financieras externas al Banco, ya que dichos accesos son configurados por cada una siguiendo sus propias políticas de seguridad y buenas prácticas.

5. De los controles de la ISO 27002:2015 de las categorías: 6. Organización de la seguridad de la información, 8. Gestión de activos. y 9. Control de acceso, clasificarlos según sean: normativos (N), organizativos (O) o técnicos (T) justificándolo muy brevemente, teniendo en cuenta que pueden ser a la vez de más de un tipo.

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

6. ORGANIZACIÓN DE LA SEGURIDAD DE LA INFORMACIÓN 6.1 Organización interna 6.1.1 Asignación de responsabilidades para la SI: Se deberían definir y asignar claramente todas las responsabilidades para la seguridad de la información.

6.1.2 Segregación de tareas: Se deberían segregar tareas y las áreas de responsabilidad ante posibles conflictos de interés con el fin de reducir las oportunidades de una modificación no autorizada o no intencionada, o el de un mal uso de los activos de la organización.

NORMATIVOS (N)

Se requiere un Se requiere que la documento normativo organización establezca las que lo establezca las responsabilidades. responsabilidades. Con el fin de reducir las oportunidades de modificación debe existir un documento que establezca la segregación de tareas.

6.1.3 Contacto con las autoridades: Se deberían mantener los contactos apropiados con las autoridades pertinentes. 6.1.4 Contacto con grupos de interés especial: Se debería mantener el contacto con grupos o foros de seguridad especializados y asociaciones profesionales.

TEMA 2 – Actividades

ORGANIZATIVOS (O) políticas

© Universidad Internacional de La Rioja (UNIR)

Se debe establecer organizativamente cuales son las autoridades con las que se debe mantener contacto. El área de seguridad se mantiene en constante contacto con grupos de interés en seguridad

TÉCNICOS (T) caducidad hardware

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

física tanto por sus capacitaciones internas como por su interacción con proveedores especializados en los temas. 6.1.5 Seguridad de la información en la gestión de proyectos: Se debería contemplar la seguridad de la información en la gestión de proyectos e independientemente del tipo de proyecto a desarrollar por la organización.

Se requiere un documento normativo que lo establezca.

6.2. Dispositivos para movilidad y teletrabajo Actividades de control del riesgo

6.2.1 Política de uso de dispositivos para movilidad: Se debería establecer una política formal y se deberían adoptar las medidas de seguridad adecuadas para la protección contra los riesgos derivados del uso de los recursos de informática móvil y las telecomunicaciones.

6.2.2 Teletrabajo: Se debería desarrollar e implantar

TEMA 2 – Actividades

Diseñar e implementar controles de computación móvil, acompañada del procedimiento adecuado para estos equipos. Diseñar e

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

implementar políticas de seguridad para proteger una política y medidas de seguridad de apoyo para proteger a las información la información accedida, procesada o almacenada en accedida en ubicaciones ubicaciones destinadas al teletrabajo. destinadas como teletrabajo: Ejemplo políticas de VPN.

8. GESTIÓN DE ACTIVOS ACTIVOS Responsabilidad sobre los activos 8.1 Actividades de control del riesgo

NORMATIVOS (N)

8.1.1 Inventario de activos: Todos los activos deberían estar claramente identificados, confeccionando y manteniendo un inventario con los más importantes.

8.1.2 Propiedad de los activos: Toda la información y activos del inventario asociados a los recursos para el

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

ORGANIZATIVOS (O)

TÉCNICOS (T)

Se debe contar con sistema de inventarios. Se debe tener actualizada la información que tiene a desactualizarse con los nuevos cambios y compras de equipos Debe existir a nivel organizativo un área

Área técnica de inventarios será la

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

encargada de inventario de la organización. Esta responsabilidad no debería de recaer en los empleados del área de soporte TI

tratamiento de la información deberían pertenecer a una parte designada de la Organización.

8.1.3 Uso aceptable de los activos: Se deberían identificar, documentar e implantar regulaciones para el uso adecuado de la información y los activos asociados a recursos de tratamiento de la información.

Se requiere un documento normativo que lo establezca que regule el uso de la información.

8.1.4 Devolución de activos: Todos los empleados y usuarios de terceras partes deberían devolver todos los activos de la organización que estén en su posesión/responsabilidad una vez finalizado el acuerdo, contrato de prestación de servicios o actividades relacionadas con su contrato de empleo.

Deben existir actas El grupo de de devolución de c, con inventarios de la el fin de establecer un organización debe velar paz y salvo con la porque los activos sean organización y el devueltos a la empelado. organización.

Clasificación de la información 8.2 Actividades de control del riesgo 8.2.1 Directrices de clasificación: La información debería clasificarse en relación a su valor, requisitos legales, sensibilidad y criticidad para la Organización 8.2.2 Etiquetado y manipulado de la información: Se

TEMA 2 – Actividades

Debe existir una La organización debe normativa que establece clasificar su información la clasificación de la según valor y sensibilidad. información. Se debe establecer

© Universidad Internacional de La Rioja (UNIR)

encargada del levantamiento de inventario por áreas.

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

debería desarrollar e implantar un conjunto apropiado de procedimientos para el etiquetado y tratamiento de la información, de acuerdo con el esquema de clasificación adoptado por la organización.

8.2.3 Manipulación de activos: Se deberían desarrollar e implantar procedimientos para la manipulación de los activos acordes con el esquema de clasificación de la información adoptado por la organización.

un esquema de clasificación de la información. De esta forma se establece quienes tienen acceso a la información. La organización debe Implantar contar con sistema de procedimientos para la manipulación de activos. manipulación de De esta forma controlar la activos. manipulación de los mismos

8.3 Manejo de los soportes de almacenamiento 8.3.1 Gestión de soportes extraíbles: Se deberían establecer procedimientos para la gestión de los medios informáticos removibles acordes con el esquema de clasificación adoptado por la organización.

TEMA 2 – Actividades

Se deben Se debe contar en la establecer políticas de empresa con un sistema acceso a la información de vigilancia que registre con el fin de restringir la entrada y salida de los el acceso a la medios informáticos información , acorde a extraíbles. las políticas de la clasificación de la información con el fin de que información sensible de la empresa no sea extraída de la

© Universidad Internacional de La Rioja (UNIR)

Asignatura

Datos del alumno

Gestión de la Seguridad

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

misma. 8.3.2 Eliminación de soportes: Se deberían eliminar los medios de forma segura y sin riesgo cuando ya no sean requeridos, utilizando procedimientos formales.

Se deben establecer normativas para la eliminación de soportes, cuando estos ya no sean requeridos.

Establecer pólizas La organización debe con la empresa contar con un sistema de encargada de manipular 8.3.3 Soportes físicos en tránsito: Se deberían proteger mensajería que se los medios que los medios que contienen información contra acceso no encargue de proteger los contienen información autorizado, mal uso o corrupción durante el transporte fuera medios que contienen sensible de la empresa de los límites físicos de la organización. información fuera de los fuera de los límites límites físicos de la físicos de la organización. organización.

9. CONTROL DE ACCESO 9.1 Requisitos de negocio para el control de acceso 9.1.1 Política de control de acceso

TEMA 2 – Actividades

NORMATIVOS (N) Se debería establecer, documentar y revisar una política de control de acceso basada en los requisitos de negocio y

© Universidad Internacional de La Rioja (UNIR)

ORGANIZATIVOS (O) La organización debe implementar estas políticas de manera general.

TÉCNICOS (T)

Asignatura

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA

Gestión de la Seguridad

02/06/19 Nombre: EDGAR GEOVANNY

seguridad informática. Únicamente se debería proporcionar a los usuarios a las redes y a los servicios en red, para cuyo uso hayan sido específicamente autorizados.

Los técnicos debe controlar estos accesos de una manera específica mediante el uso de herramientas tecnológicas.

9.2.1 Registro y baja de usuario

Debería implantarse un procedimiento formal de registro y retirada de usuarios que haga posible la asignación de los derechos de acceso.

Los técnicos encargados del manejo de registros y baja de usuarios.

9.2.2 Provisión de acceso de usuario

Debería implantarse un procedimiento formal para asignar o revocar los derechos de acceso para todos los tipos de usuarios de todos los sistemas y servicios.

Los técnicos encargados del manejo de asignaciones y revocaciones de usuarios.

9.1.2 Acceso a las redes y a los servicios de red

9.2 Gestión de acceso de usuario

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

9.2.3 Gestión de privilegios de acceso

La asignación y el uso de privilegios de acceso debería estar restringida y controlada.

La asignación de la información secreta de 9.2.4 Gestión de la información secreta de autenticación autenticación debería de los usuarios ser controlada a través de un proceso formal de gestión.

9.2.5 Revisión de los derechos de acceso de usuario

9.2.6 Retirada o reasignación de los derechos de acceso

TEMA 2 – Actividades

Los propietarios de los activos deberían revisar los derechos de acceso de usuario a intervalos regulares. Los derechos de acceso de los todos los empleados y terceras partes, a la información y a los recursos de tratamiento de la información debería ser retirados a la finalización del empleo,

© Universidad Internacional de La Rioja (UNIR)

Todo el personal de la institución.

Revisar de manera periódica los acceso de los usuarios a los sistemas. Realizar los accesos a los empleados que retiran de la institución.

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

del contrato o cambios. 9.3 Responsabilidades del usuario

9.3.1 Uso de la información secreta de autenticación

Se debería requerí a los usuarios que sigan las prácticas de la organización en el uso de la información secreta de autenticación.

9.4 Control de acceso al sistemas y aplicaciones

9.4.1 Restricción del acceso a la información

Se debería restringir el acceso a la información y a las funciones de alas aplicaciones, de acuerdo con la política de control de acceso definida.

Restringir el acceso a los usuarios dependiendo de sus funciones.

9.4.2 Procedimientos seguros de inicio de sesión

El acceso a los sistemas y aplicaciones se debería controlar por medio de un procedimiento seguro de inicio de sesión.

Crear aplicaciones seguras y robustas de logeo de usuarios.

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)

Asignatura Gestión de la Seguridad

Datos del alumno

Fecha

Apellidos: MARQUINA LLIVISACA 02/06/19 Nombre: EDGAR GEOVANNY

9.4.3 Sistema de gestión de contraseñas

Los sistemas para la gestión de contraseñas deberían ser interactivos y establecer contraseñas seguras y robustas.

Con la ayuda de herramientas tecnológicas de vanguardia.

9.4.4 Uso de utilidades con privilegios del sistema

Se debería restringir y controlar el uso de utilidades que puedan ser capaces de invalidar los controles de sistema y de aplicación.

Manejar controles de contraseñas mediante perfiles de usuarios, como también de administrador.

9.4.5 Control de acceso al código fuente de los programadores

Se debería restringir el acceso al código fuente de programas.

Tener implementado control de versiones, mediante herramientas como el subversión.

TEMA 2 – Actividades

© Universidad Internacional de La Rioja (UNIR)